現: 2014-10-05 (日) 23:01:39 maruo ソース
Line 1: Line 1:
 +*セキュリティを強化するために [#m2fdaf49]
 +まずは、うちの方針としては、外部に公開するSIPレジストリのポートは、SIP-TLSの暗号化ポートに絞ってます。RTPもSRTPにして、通信パケットを暗号化するよう心がけております。
 +が…ブルートフォースアタックや、パスワードリスト攻撃等で、アカウントが乗っ取られてしまった場合は、通話されてしまいますので、お金がかかってしまいます。これは痛い…
 +なもんで、SIPレジストリに簡単に成功させないように、ツールを設定します。
 +
 +*Fail2ban [#w579a466]
 +Fail2banは、ログを監視し、ある特定のキーワードにひっかかるような事象があった場合、攻撃してきたIPアドレスに対し、特定の防御をしてくれます。
 +
 +さて、どー言うことかというと。
 +
 +Asteriskのログを調べて、ログインに失敗したようなログが出た場合、IPフィルタでそのアドレスを一定時間遮断してくれます。これは効果的な防御ですね~♪
 +
 +なわけで設定してみましょ。
 +
 +**インストール [#h100a9ea]
 +Fail2banはGentooPortageにありますので
 +
 + # emerge fail2ban
 +
 +でインストールできます。自動起動は
 +
 + # rc-update add fail2ban default
 +
 +ですね。
 +
 +**設定 [#m48bcdbe]
 +インストール段階で、結構いろんな認証系の設定が入っております。どのSyslogに何のログが出るかを調べておく必要はありますが…Asteriskの場合はいじる必要なかったっす。
 +
 +んで、/etc/fail2ban/jail.confってのをみると、いろいろと設定があり、デフォルトでは停止状態になっております。私は、asterisk-tcpってルールの中の
 + enabled = true
 +に変更しております。これで、SIP認証に失敗した場合、TCPのポート5060、5061を自動的に遮断してくれます。いやー、これは安心!
 +
 +さて…これを応用すると、HTTP/IMAP/SMTPの認証に失敗した場合、そのIPを遮断するようなルールも作れます。必要に応じて強化しようと思いまーす。
  

  • Gentoo Linuxな生活/セキュリティを強化する のバックアップ差分(No. All)
    • 現: 2014-10-05 (日) 23:01:39 maruo

トップ   差分 バックアップ 複製 名前変更 リロード印刷に適した表示   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom Powered by xpWiki
Counter: 2463, today: 1, yesterday: 2
ページ内検索

ログイン

ユーザー名:


パスワード:





パスワード紛失

メインメニュー

サブメニュー
自宅鯖計画

Gentoo Linuxな生活

玄箱HGにGentoo格闘記

航空ショーへ行こう

モータースポーツな世界

奥深き写真の世界への誘い

我思う ゆえに我あり



携帯用QRコード